SegInfocast #4 – Podcast e artigo sobre certificações na área de Segurança da Informação

SegInfocast #4 – Podcast e artigo sobre certificações na área de Segurança da Informação

Faça o download aqui. (50:27 min,  34,7 MB)

Nesta quarta edição, nosso entrevistador Paulo Sant´anna recebe Fernando Fonseca, consultor de Segurança da Informação, para uma debate sobre o tema “Certificações na área de Segurança da Informação”.

O tema deste podcast foi inspirado na recente norma publicada pelo DSIC, onde o Departamento de Segurança da Informação e Comunicações (DSIC) do Gabinete de Segurança Institucional da Presidência da República (GSI/PR) define as certificações, separadas por área, para os servidores e funcionários da Administração Pública Federal.

O Blog SegInfo, a fim de minimizar as dúvidas sobre o assunto (principalmente no momento de definir qual certificação seria ideal para ingressar na área de Segurança da Informação) resolveu disponibilizar, além desta edição do SegInfocast, um artigo descritivo de todas as certificações recomendadas pelo DSIC.

Ouça agora mesmo o quarto  episódio do SegInfocast!

Gostou do podcast? Leia abaixo também nosso artigo relacionado ao podcast #4 do SegInfocast.

---

Principais Certificações na área de Segurança da Informação – Segurança de Redes, Forense Computacional, Segurança no Desenvolvimento de Software, Gestão e Auditoria

Introdução sobre o Artigo

Por: Raquel Logullo, Raphael Machado, Bruno Salgado e Henrique Soares

Na área de Segurança da Informação, assim como em diversas outras no campo das Ciências da Computação, é uma prática internacional comum exigir certificações alinhadas com as atribuições do cargo que um dado profissional ocupa ou pretende ocupar. Tais certificações valorizam o currículo do profissional, atestando que ele possui conhecimento ou experiência nos assuntos contemplados pelo conteúdo programático da certificação obtida. Entretanto, quando a obtenção da certificação não é uma solicitação explícita de uma empresa ou organização nem pré-requisito para a execução de uma atividade, muitos profissionais têm dificuldade para determinar quais certificações seriam mais apropriadas e o dirigiriam à posição/cargo que o mesmo deseja alcançar. Importante salientar que apesar da norma estar diretamente orientada aos funcionários da administração pública federal, é esperado também que tais certificações sejam solicitadas pelos orgãos públicos em licitações e chamadas públicas para contratações e prestadores de serviços – e que a norma sirva também com um referência para empresas e organizações que prestam serviços e consultorias para orgãos públicos, assim como para o mundo corporativo como um todo.

Com a norma 17/IN01/DSIC/GSIPR — Atuação e adequações para profissionais da área de Segurança da Informação e Comunicações nos órgãos e entidades da Administração Pública Federal — publicada pelo Departamento de Segurança da Informação e Comunicações (DSIC) do Gabinete de Segurança Institucional da Presidência da República (GSI/PR), os servidores da Administração Pública Federal (APF) passam a ter um documento oficial para guiar a escolha por certificações. A referida norma tem por objetivo conscientizar e preparar os servidores da APF, que passam a ter como dever “empenhar-se na obtenção de certificações profissionais, estas de extrema importância na área de Segurança da Informação” (Fonte: Blog Clavis). Para atingir este objetivo, a norma recomenda diversas certificações na área de Segurança da Informação, classificando-as de acordo com seu conteúdo e a reputação do organismo certificador, funcionando como um guia que define quais certificações seriam ideais para os profissionais que já atuam ou querem atuar na área de Segurança da Informação.

O Blog SegInfo, com o intuito em auxiliar nossos leitores a compreender melhor a diferença entre as certificações, vem a público com este artigo e um podcast, apresentando informações sobre as certificações recomendadas na área de Segurança da Informação, assim como um resumo sobre as organizações certificadoras, encontrado no final deste artigo.

A Clavis Segurança da Informação, a fim de minimizar dúvidas sobre as certificações na área de Segurança da Informação, patrocinou este artigo e ainda os podcasts: SegInfocast #4 – Certificações na área de Segurança da Informação e SegInfocast #1 – Certificação CompTIA Security+ publicados no Blog SegInfo; e o Webinar #15 – “Certificação CompTIA Security+ | Yuri Diógenes”. Agora está disponibilizando o roadmap abaixo para ajudar ainda mais os interessados em obter certificações na área de SI.

Certificações definidas para todas as áreas de Segurança da Informação pelo DSIC

As tabelas a seguir contêm a listagem das certificações recomendadas pelo DSIC, publicada na Norma 17/IN01/DSIC/GSIPR. Listaremos primeiramente todas as tabelas de todas as áreas específicas, e depois abordaremos todas as certificações de todas as áreas, assim como uma descrição de todas as entidades certificadoras, que poderão ser encontrados ao final deste artigo.

Índice

• Introdução
• Resumo de todas as Certificações recomendadas pelo DSIC no que tange a área de Segurança da Informação
• Recomendação do DSIC no que tange a área de Segurança de Redes
  • CompTIA Security+
  • ECSA – EC-Council Security Analyst
  • GAWN – GIAC Assessing Wireless Networks
  • GCIA – GIAC Certified Intrusion Analyst
  • GPEN – GIAC Penetration Tester
  • SSCP – Systems Security Certified Practioner
• Recomendação do DSIC no que tange a área de Segurança de Redes e Gestão da Segurança da Informação
  • CASP – CompTIA Advanced Security Practitioner
• Recomendação do DSIC no que tange a área de Segurança de Redes e Segurança no Desenvolvimento de Software
  • CEH – Certified Ethical Hacker
  • GWAPT – GIAC Web Application Penetration Tester
  • LPT – Licensed Penetration Tester
• Recomendação do DSIC no que tange a área de Tratamento de Incidentes de Segurança Computacional
  • GCIH – GIAC Certified Incident Handler
• Recomendação do DSIC no que tange a área Forense Computacional
  • CHFI – Computer Hacking Forensic Investigator
  • GCFA – GIAC Certified Forensic Analyst
  • GCFE – GIAC Certified Forensic Examiner
  • GREM – GIAC Reverse Engineering Malware
• Recomendação do DSIC no que tange a área de  Segurança no Desenvolvimento de Software
  • CSSLP – Certified Secure Software Lifecycle Professional
• Recomendação do DSIC no que tange a área de Auditoria e Conformidade
  • Auditor Lider ISO 27001
  • CISA – Certified Information Systems Auditor
• Recomendação do DSIC no que tange a área de Gestão, Auditoria e Conformidade
  • COBIT – Control Objectives for Information and related Technology
  • CRISC – Certified in Risk and Information Systems Control
  • ITIL – Information Technology Infrastructure Library
• Recomendação do DSIC no que tange a área de Gestão da Segurança da Informação
  • CISM – Certified Information Security Manager
  • CISSP – Certified Information Systems Security Professional
  • CISSP (ISSAP) – Information Systems Security Architecture Professional
  • CISSP (ISSEP) – Information Systems Security Engineering Professional
  • CISSP (ISSMP)- Information Systems Security Management Professional
  • ISFS – Information Security Foundation baseada na ISO 27002
  • ISMAS – Information Security Management Advanced baseada na ISO 27002
  • ISMES – Information Security Management Expert baseada na ISO 27002
  • MCSO – Modulo Certified Security Officer
• Recomendação do DSIC no que tange a área de Gestão de Continuidade de Negócios
  • ABCP – Associate Business Continuity Professional
  • CBCI – Business Continuity Institute Certificate
  • AMBCI – Associate Member of the Business Continuity Institute
  • SBCI – Specialist Member of the Business Continuity Institute
  • CBCP – Certified Business Continuity Professional
  • CFCP – Certified Functional Continuity Professional
  • MBCP – Master Business Continuity Professional

Resumo de todas as Certificações recomendadas pelo DSIC no que tange a área de Segurança da Informação

Foco	Certificação	Entidade
Segurança de Redes	CompTIA Security+	CompTIA
	ECSA – EC-Council Security Analyst	EC-Council
	GAWN – GIAC Assessing Wireless Networks	SANS
	GCIA – GIAC Certified Intrusion Analyst	SANS
	GPEN – GIAC Penetration Tester	SANS
	SSCP – Systems Security Certified Practioner	ISC²
Segurança de Redes/Gestão da Segurança da Informação	CASP – CompTIA Advanced Security Practitioner	CompTIA
Segurança de Redes/Segurança no Desenvolvimento de Software	CEH – Certified Ethical Hacker	EC-Council
	GWAPT – GIAC Web Application Penetration Tester	SANS
	LPT – Licensed Penetration Tester	EC-Council
Tratamento de Incidentes de Segurança Computacional	GCIH – GIAC Certified Incident Handler	SANS
Forense Computacional	CHFI – Computer Hacking Forensic Investigator	EC-Council
	GCFA – GIAC Certified Forensic Analyst	SANS
	GCFE – GIAC Certified Forensic Examiner	SANS
	GREM – GIAC Reverse Engineering Malware	SANS
Segurança no Desenvolvimento de Software	CSSLP – Certified Secure Software Lifecycle Professional	ISC²
Auditoria e Conformidade	Auditor Lider ISO 27001	RAB ou IRCA
	CISA – Certified Information Systems Auditor	ISACA
Gestão/Auditoria/Conformidade	COBIT – Control Objectives for Information and related Technology	ISACA
	CRISC – Certified in Risk and Information Systems Control	ISACA
	ITIL – Information Technology Infrastructure Library	OGC
Gestão da Segurança da Informação	CISM – Certified Information Security Manager	ISACA
	CISSP – Certified Information Systems Security Professional	ISC²
	CISSP (ISSAP) – Information Systems Security Architecture Professional	ISC²
	CISSP (ISSEP) – Information Systems Security Engineering Professional	ISC²
	CISSP (ISSMP)- Information Systems Security Management Professional	ISC²
	ISFS – Information Security Foundation baseada na ISO 27002	EXIN
	ISMAS – Information Security Management Advanced baseada na ISO 27002	EXIN
	ISMES – Information Security Management Expert baseada na ISO 27002	EXIN
	MCSO – Modulo Certified Security Officer	Modulo
Gestão de Continuidade de Negócios	ABCP – Associate Business Continuity Professional	DRI International
	CBCI – Business Continuity Institute Certificate	BCI
	AMBCI – Associate Member of the Business Continuity Institute	BCI
	SBCI – Specialist Member of the Business Continuity Institute	BCI
	CBCP – Certified Business Continuity Professional	DRI International
	CFCP – Certified Functional Continuity Professional	DRI International
	MBCP (Master Business Continuity Professional)	DRI International

Conforme conversado no SegInfocast #1 (Sobre a Certificação CompTIA Security+) e principalmente no mais recente SegInfocast #4, uma das certificações recomendadas, a CompTIA Security+, é o primeiro passo ideal para todas as áreas de Segurança da Informação. Ela seria o passo inicial para os profissionais da área de Segurança da Informação, pois aborda conceitos básicos de Segurança da Informação, tais como: Segurança de Redes; Conformidade e Segurança Operacional; Ameaças e Vulnerabilidades; Segurança de Aplicações, Dados e Estações; Controle de Acesso e Gerência de Identidade; e Criptografia. Mais informações sobre esta certificação são apresentadas a seguir, na seção Segurança de Redes.

Para aqueles profissionais que desejam iniciar na área, mas ainda necessitam consolidar seus conhecimentos na área de TI, existem as certificações CompTIA Linux+ e CompTIA Network+. Estas certificações são consideradas como o passo inicial na área de TI, dando aos profissionais os conceitos da área de Tecnologia da Informação necessários para ingressar na área de Segurança da Informação.

Veja abaixo informações sobre todas as certificações sugeridas, separadas por área:

Recomendação do DSIC no que tange a área de Segurança de Redes

Foco	Certificação	Entidade
Segurança de Redes	CompTIA Security+	CompTIA
	ECSA – EC-Council Security Analyst	EC-Council
	GAWN – GIAC Assessing Wireless Networks	SANS
	GCIA – GIAC Certified Intrusion Analyst	SANS
	GPEN – GIAC Penetration Tester	SANS
	SSCP – Systems Security Certified Practioner	ISC²

Aqui abordaremos todas as certificações abordadas no tópico “Segurança de Redes”.

CompTIA Security+

A CompTIA Security+ é uma certificação internacional que demonstra competência em: Segurança de Redes; Conformidade e Segurança Operacional; Ameaças e Vulnerabilidades; Segurança de Aplicações, Dados e Estações; Controle de Acesso e Gerência de Identidade; e Criptografia. Ela garante que os candidatos não estarão somente aptos a aplicar os conhecimentos de conceitos, ferramentas e procedimentos de segurança para reagir a incidentes de segurança, como também estarão aptos a antecipar riscos de segurança, sendo capazes de tomar as medidas proativas necessárias (Fonte: Clavis Segurança da Informação).

Em fevereiro deste ano, a CompTIA começou a oferecer uma versão em português do exame. Como material preparatório, também em português, há o livro ”Certificação Security+ Da Prática Para o Exame SY0-301“, da editora Nova Terra, cujos autores são Yuri Diógenes e Daniel Mauser.

A atual edição do livro teve o patrocínio da Clavis Segurança da Informação. A Academia Clavis ministra também um treinamento preparatório para a certificação, em que o instrutor é o próprio autor do livro, Yuri Diógenes. O material utilizado no treinamento é a nova edição do livro, ofertada aos alunos inscritos. Assista ao webinar gratuito ministrado pela Academia Clavis e conheça a estrutura do treinamento: Webinar #15 – “Certificação CompTIA Security+ | Yuri Diógenes”.

A primeira edição do SegInfocast abordou esta certificação e teve como convidado o autor do livro  ”Certificação Security+ Da Prática Para o Exame SY0-301“. Ouça o podcast através do link: SegInfocast #1 – Certificação CompTIA Security+.

ECSA (EC-Council Security Analyst)

A certificação EC-Council Certified Security Analyst (ECSA) complementa a certificação Certified Ethical Hacker (CEH) com foco na análise dos dados obtidos em um teste de invasão. O profissional certificado CEH e ECSA, estará apto a se certificar Licensed Penetration Tester – LPT. Esta certificação possui como público alvo administradores de redes, analistas de segurança, auditores de sistemas, profissionais em análise de riscos e auditores de segurança (Fonte: Clavis Segurança da Informação).

A Academia Clavis ministra o treinamento oficial, preparatório para este exame de certificação, com 5 dias de aulas destinadas a ensinar aos profissionais de segurança o uso avançado das metodologias disponíveis, ferramentas e técnicas necessárias para realizar testes abrangentes de segurança da informação, todos focados para a prova de certificação. Os estudantes irão aprender como projetar, proteger e testar redes a fim de proteger uma organização contra possíveis ameaças. Além de aprender a identificar problemas de segurança, os alunos também irão aprender como os evitar e os eliminar.

GAWN (GIAC Assessing and Auditing Wireless Networks)
Esta certificação da SANS é designada a profissionais que avaliam a segurança de redes sem fio. Aborda diferentes mecanismos de redes sem fio, ferramentas e técnicas usadas para avaliar e explorar as fraquezas e técnicas usadas para analisar as redes sem fio. O público alvo são auditores, administradores de redes e pentesters responsáveis pela segurança de redes sem fio.

GCIA (GIAC Certified Intrusion Analyst)
Organizada também pela SANS, esta certificação possui os conhecimentos, competências e habilidades para configurar e monitorar os Sistemas de Detecção de Intrusão (do inglês, Intrusion Detection Systems – IDS), interpretar e analisar o tráfego de rede e arquivos de log relacionados. É destinada a profissionais responsáveis pela rede e monitoramento de hosts, análise de tráfico de rede, e detecção de intrusão.

GPEN (GIAC Penetration Tester)
Os objetivos desta certificação, emitida pela SANS, incluem metodologias de teste de intrusão, as questões legais que envolvem estes testes, assim como melhores práticas técnicas e não-técnicas específicas para realizar um teste de intrusão.

SSCP (Systems Security Certified Practitioner)
O SSCP é ideal para quem busca cargos como: Engenheiros de segurança em rede, Analistas de segurança de sistemas ou Administradores de segurança. Os tópicos abordados do CBK® do SSCP – ISC²® são:

• Controles de acesso
  • Análise e monitoramento
  • Criptografia
  • Código malicioso
  • Redes e telecomunicações
  • Risco, resposta e recuperação
  • Operações de segurança e administração

Recomendação do DSIC no que tange a área de Segurança de Redes e Gestão da Segurança da Informação

Foco	Certificação	Entidade
Segurança de Redes/Gestão da Segurança da Informação	CASP – CompTIA Advanced Security Practitioner	CompTIA

Aqui abordaremos a certificação sugerida para a área de “Segurança de Redes e Gestão da Segurança da Informação”, a CASP.
CASP (CompTIA Advanced Security Practitioner)

Esta outra certificação da CompTIA é, assim como a CompTIA Security+, “vendor neutral”, isto é, sem enfoque em uma tecnologia em específico. Abrange conhecimentos técnicos e habilidades necessárias para projetar, conceituar e aplicar soluções de segurança em ambientes corporativos complexos. O exame aborda competências em: segurança corporativa; gestão de riscos; pesquisa e análise; e integração da computação, comunicação e as áreas de negócios.

Recomendação do DSIC no que tange a área de Segurança de Redes e Segurança no Desenvolvimento de Software

Foco	Certificação	Entidade
Segurança de Redes/Segurança no Desenvolvimento de Software	CEH – Certified Ethical Hacker	EC-Council
	GWAPT – GIAC Web Application Penetration Tester	SANS
	LPT – Licensed Penetration Tester	EC-Council

Aqui abordaremos as certificações sugeridas para a área de “Segurança de Redes e Segurança no Desenvolvimento de Software”.

CEH (Certified Ethical Hacker)

No mercado de Segurança da Informação, a certificação Certified Ethical Hacker (CEH) da EC-Council é umas das principais certificações internacionais e tem sido uma certificação de normalização. Além disto, o novo lançamento, CEHv8, é credenciado ANSI 17024. O programa de treinamento CEH tem sido amplamente utilizado pelo Pentágono a fim de treinar os profissionais que atuam na área de defesa de redes, como parte da Diretiva 8570 do Departamento de Defesa de Americano.

O programa CEH da EC-Council certifica indivíduos especificamente na disciplina do “Hacking ético” em segurança de rede, utilizando uma perspectiva “vendor neutral”, ou seja, que não enfoca uma tecnologia específica, evitando restringir os horizontes do profissional. O “Ethical Hacker” é um profissional dotado de habilidades para encontrar as vulnerabilidades e fraquezas dos sistemas, utilizando os mesmos conhecimentos, ferramentas e metodologias empregadas por um atacante malicioso. Aborda tópicos como: criptografia, engenharia social, testes de invasão, injeção de códigos SQL, dentre outros.

O CEHv8 surge com muitas atualizações, lançado no dia 20 de maio de 2013, não apenas em seu conteúdo como também nos sistemas de distribuição de conteúdo e ferramentas, tornando-se uma ferramenta utilizada por grandes empresas como a Fortune 500 e pelos governos de todo o mundo. Os alunos podem esperar um grande foco em conceitos avançados, plataformas móveis, técnicas de invasão e estudos de caso em tempo real. Todos os conceitos apresentados são reforçados com exercícios práticos.

A Academia Clavis ministra o treinamento oficial da EC-Council, onde são abordados assuntos como proteção de perímetros, análise e ataque de redes, como intrusos obtêm privilégios em uma rede e passos que se devem seguir para proteger um determinado sistema, além de detecção de invasões, criação de políticas de segurança, engenharia social, ataques DDoS e criação de vírus.

GWAPT (GIAC Web Application Penetration Tester)
A certificação GWAPT da SANS abrange um dos pontos mais vulneráveis das organizações, atualmente: as aplicações web. Aborda assuntos como Injeção SQL, Ajax, Serviços Web, metodologias para a execução de testes de intrusão e redação do relatório, dentre outros assuntos relacionados.

LPT (Licensed Penetration Tester)

O programa LPT (Licensed Penetration Tester) da EC-Council possui como objetivo garantir que os profissionais licenciados sigam um restrito código de ética, exposto nas melhores práticas do domínio testes de invasão, conhecendo os requisitos de conformidade exigidos pela indústria. Ele é o próximo passo após o licenciamento nas duas outras certificações da EC-Council: CEH e ECSA, formando-se assim um auditor em testes de invasão.

O programa LPT, oferecido pela EC-Council, permite aos profissionais de segurança da informação, em especial os que trabalham com auditoria do tipo Teste de Invasão, a oportunidade de colocar em prática suas habilidades e principalmente de ter um documento certificando que possui tais habilidades. A Clavis ainda irá auxiliar, remotamente, os interessados no LPT com o processo administrativo da EC-Council, lembrando que o LPT não possui prova, basta estar de acordo com os requisitos e se licenciar – além é claro, de já possuir as certificações CEH e ECSA.

Recomendação do DSIC no que tange a área de Tratamento de Incidentes de Segurança Computacional

Foco	Certificação	Entidade
Tratamento de Incidentes de Segurança Computacional	GCIH – GIAC Certified Incident Handler	SANS

Aqui abordaremos a certificação sugerida para as área de “Tratamento de Incidentes de Segurança Computacional”.

GCIH (GIAC Certified Incident Handler)
A certificação GCIH da SANS possui foco na detecção, resposta e resolução de incidentes de segurança abrangindo técnicas de segurança da informação. As etapas do tratamento de incidentes são:

• Detecção de aplicações maliciosas e atividade de rede;
• Técnicas de ataques frequentes e hosts comprometidos;
• Detecção e análise de vulnerabilidades em sistemas e redes;
• Melhoria contínua no processo de descoberta da causa de incidentes.

Recomendação do DSIC no que tange a área Forense Computacional

Foco	Certificação	Entidade
Forense Computacional	CHFI – Computer Hacking Forensic Investigator	EC-Council
	GCFA – GIAC Certified Forensic Analyst	SANS
	GCFE – GIAC Certified Forensic Examiner	SANS
	GREM – GIAC Reverse Engineering Malware	SANS

Aqui abordaremos as certificações sugeridas para a área de “Forense Computacional”.
CHFI (Computer Hacking Forensic Investigator)

Computer Hacking Forensic Investigator (CHFI) da EC-Council é uma certificação que prepara o profissional para detectar ataques e extrair adequadamente as evidências para a comprovação do crime cibernético, assim como a condução de auditorias que visam prevenir futuros incidentes. Computer forensics é simplesmente a aplicação de investigações cibernéticas e técnicas de análises com o fim de determinar a evidência legal. A evidência pode ser classificada dentro de uma ampla gama de crimes digitais, incluindo, dentre outros, o roubo de segredos comerciais, espionagem corporativa, destruição ou uso indevido de propriedade intelectual, sabotagem, fraude e mau uso de programas e sistemas. O treinamento oficial da EC-Council aborda 65 diferentes módulos. Veja a ementa completa no site do treinamento ministrado pela Academia Clavis.

GCFA (GIAC Certified Forensic Analyst)
A GIAC Certified Forensic Analyst (GCFA) da SANS é uma certificação ideal para profissionais que trabalham na segurança da informação, com forense computacional e também no campo de resposta a incidentes. Certifica que os candidatos têm habilidades, conhecimento e capacidade para realizar investigações de incidentes computacionais, incluindo invasões, violação de dados, ameaças persistentes avançadas, detecção de técnicas anti-forense utilizadas, e casos de forense digital complexos.

GCFE (GIAC Certified Forensic Examiner)
Esta certificação da SANS é ideal para profissionais que atuam ou se interessam na área de segurança da informação, sobre o direito e a obrigatoriedade legal das indústrias com a necessidade em entender a análise forense computacional. A certificação concentra-se na coleta e análise de dados de sistemas operacionais Windows.

GREM (GIAC Reverse Engineering Malware)
Esta certificação da SANS é destinada aos profissionais que protegem uma organização contra códigos maliciosos. Os profissionais que possuem tal certificação estão aptos a efetuar engenharia reversa em malwares que possuem como alvos plataformas como Windows e navegadores web.

Recomendação do DSIC no que tange a área de  Segurança no Desenvolvimento de Software

Foco	Certificação	Entidade
Segurança no Desenvolvimento de Software	CSSLP – Certified Secure Software Lifecycle Professional	ISC²

Aqui abordaremos a certificação sugerida para a área de “Segurança no Desenvolvimento de Software”.
CSSLP (Certified Secure Software Lifecycle Professional)

Emitida pela ISC², a CSSLP foi uma das primeiras certificações no mundo a abordar o desenvolvimento seguro. Possui como requisito 4 anos de experiência, no mínimo, em desenvolvimento seguro. Certifica proficiência em: desenvolvimento de um programa de segurança de aplicações na organização; redução de custos de produção, vulnerabilidades em aplicações e atrasos de entrega; melhoria da credibilidade da organização e da sua equipe de desenvolvimento; redução de perda financeira devido a violação de softwares inseguros. A Academia Clavis em breve abrirá uma turma para o treinamento oficial CSSLP.

Recomendação do DSIC no que tange a área de Auditoria e Conformidade

Foco	Certificação	Entidade
Auditoria e Conformidade	Auditor Lider ISO 27001	RAB ou IRCA
	CISA – Certified Information Systems Auditor	ISACA

Aqui abordaremos as certificações sugeridas para a área de “Auditoria e Conformidade”.

Auditor Lider ISO 27001

A certificação Auditor Lider ISO 27001 forma profissionais capazes de auditar um Sistema de Gerenciamento de Segurança da Informação (SGSI) e coordenar uma equipe em conformidade com a Norma ISO 27001. Compreende técnicas de auditoria desde a coleta de informações até a redação do relatório, gerenciando riscos e vulnerabilidades.

A norma aborda os seguintes domínios:

• Política de segurança;
• Governança da segurança da informação;
• Gestão de ativos;
• Segurança de recursos humanos;
• Segurança física e ambiental;
• Comunicação e gestão de operações;
• Controles de acesso;
• Sistemas de aquisição de informação, desenvolvimento e manutenção;
• Gestão de riscos;
• Gestão de continuidade de negócios;
• Conformidade do negócio.

CISA (Certified Information Systems Auditor)

Esta certificação da ISACA existe desde 1978, havendo mais de 29 mil profissionais certificados no mundo. É reconhecida mundialmente, abordando a área de auditoria, controle e segurança de TI. Os certificados CISA estarão aptos a identificar problemas críticos na organização, alcançando a demanda de diversas empresas de TI. A Clavis em breve irá divulgar uma turma do treinamento para a certificação CISA, faça aqui o seu pré-cadastro.

Recomendação do DSIC no que tange a área de Gestão, Auditoria e Conformidade

Foco	Certificação	Entidade
Gestão/Auditoria/Conformidade	COBIT – Control Objectives for Information and related Technology	ISACA
	CRISC – Certified in Risk and Information Systems Control	ISACA
	ITIL – Information Technology Infrastructure Library	OGC

Aqui abordaremos as certificações sugeridas para a área de “Gestão, Auditoria e Conformidade”.

COBIT (Control Objectives for Information and related Technology)
O COBIT é um framework abrangindo a governança corporativa de TI sob a perspectiva do negócio. Prepara os profissionais para garantir o mais alto retorno de investimento (ROI – Return on Investment) dos ativos de informação e tecnologia. As certificações COBIT (Foundation, Implementation e Assessor), emitidas pela ISACA, são destinadas aos profissionais da área de TI como gerentes, líderes, auditores, desenvolvedores, dentre outros.

CRISC (Certified in Risk and Information Systems Control)
Esta certificação da ISACA avalia a proficiência dos candidatos em gestão de riscos. Os certificados são aptos em ajudar as empresas a entender o risco do negócio e possuem o conhecimento técnico para implementar os controles necessários para controlar estes riscos.

ITIL (Information Technology Infrastructure Library)
A certificação ITIL define as boas práticas para o gerenciamento de serviços de TI. Possui diversos níveis, indo do fundamental (ITIL Foundation) certificando o profissional com conceitos básicos na gestão de serviços segundo o framework, ao nível Master (ITIL Master) sendo necessária a apresentação de casos reais de sucesso.

Recomendação do DSIC no que tange a área de Gestão da Segurança da Informação

Foco	Certificação	Entidade
Gestão da Segurança da Informação	CISM – Certified Information Security Manager	ISACA
	CISSP – Certified Information Systems Security Professional	ISC²
	CISSP (ISSAP) – Information Systems Security Architecture Professional	ISC²
	CISSP (ISSEP) – Information Systems Security Engineering Professional	ISC²
	CISSP (ISSMP)- Information Systems Security Management Professional	ISC²
	ISFS – Information Security Foundation baseada na ISO 27002	EXIN
	ISMAS – Information Security Management Advanced baseada na ISO 27002	EXIN
	ISMES – Information Security Management Expert baseada na ISO 27002	EXIN
	MCSO – Modulo Certified Security Officer	Módulo

Aqui abordaremos as certificações sugeridas para a área de “Gestão da Segurança da Informação”.
CISM (Certified Information Security Manager)

A certificação CISM (Certified Information Security Manager) foi conquistada por mais de 10.000 profissionais ao redor do mundo desde 2003. CISM é para profissionais que projetam, dirigem e avaliam os programas de segurança de informação de corporações (Fonte: Clavis Segurança da Informação). A CISM é hoje a principal certificação em segurança da informação, por ser destinada especificamente aos profissionais que visam atuar ou já atuam na gestão de segurança da informação.

O exame aborda os seguintes módulos de gerenciamento de Segurança da Informação:

1. Governança de Segurança da Informação (24%) – O objetivo deste módulo é estabelecer e manter uma estrutura de governança de segurança da informação e processos que garantem o alinhamento da segurança da informação estratégica com as metas e objetivos da organização.
2. Gestão de Risco e Conformidade (33%) – Este módulo visa efetuar o gerenciamento de riscos a fim de atingir um nível de segurança aceitável, atendendo o negócio e as necessidades de conformidade da organização.
3. Programa de gestão e desenvolvimento da Segurança da Informação (25%) – Este módulo tem por objetivo estabelecer e gerenciar o programa de segurança da informação.
4. Gestão de incidentes de Segurança da Informação (18%) – O objetivo deste módulo é planejar, estabelecer e gerenciar a capacidade de detecção, investigação, resposta e recuperação de incidentes de segurança, minimizando o impacto ao negócio.

CISSP (Certified Information Systems Security Professional)

Esta foi a primeira certificação na área de Segurança da Informação a atender aos rigorosos requisitos da norma ISO/IEC 17024 e é uma das certificações  mais cobiçadas pelos profissionais na área de segurança da informação.

Um certificado CISSP é um profissional de segurança da informação que define a arquitetura, design, gestão e/ou controles que garantem a segurança de ambientes corporativos. A vasta amplitude de conhecimentos e experiências necessários para aprovação no exame é o que diferencia um CISSP. A credencial demonstra um nível reconhecido globalmente de competência fornecido pelo CBK® do ISC²®, que cobre tópicos críticos em segurança, incluindo os atuais como computação em nuvem, segurança móvel, segurança no desenvolvimento de aplicativos, gestão de riscos, dentre outros. Conheça o treinamento preparatório ministrado pela Academia Clavis Segurança da Informação.

Para obtê-la, são necessários ao menos 5 anos de experiência profissional em dois ou mais domínios dos dez listados no CBK® da ISC². Os candidatos que possuem um diploma universitário têm o requisito diminuído em um ano, sendo necessário comprovar 4 anos de experiência.

Os dez domínios CISSP contidos no CBK® são:

1. Controle de acesso
   2. Segurança de telecomunicações e redes
   3. Governança de Segurança da Informação
   4. Segurança no Desenvolvimento de Software
   5. Criptografia
   6. Arquitetura e Design de Segurança
   7. Segurança de operações
   8. Continuidade dos negócios e planejamento para recuperação de desastres
   9. Jurídico, regulamentos, investigações e conformidade
   10. Segurança física (ambiental)

CISSP – ISSAP (Information Systems Security Architecture Professional)
Esta certificação é uma especialização da CISSP, sendo necessária a obtenção da anterior e mais dois anos de experiência na área de arquitetura.

CISSP – ISSEP (Information Systems Security Engineering Professional)
Esta outra especialização foi criada em conjunto com a NSA National Security Agency dos EUA, fornecendo um instrumento valioso para os profissionais que atuam na área de engenharia de Segurança da Informação.

CISSP – ISSMP (Information Systems Security Management Professional)
A especialização ISSMP (Information Systems Security Management Professional) exige dois anos de experiência na área de gestão de Segurança da Informação. Possui elementos mais aprofundados em gestão, como gerenciamento de risco, gestão de projetos, dentre outros. O profissional que possui a certificação estará apto a constuir frameworks de Segurança da Informação e definir meios para apoiar a equipe interna.

ISFS (Information Security Foundation) baseada na ISO 27002
Esta certificação, que é ministrada pela EXIN, é indicada àqueles que pretendem iniciar sua carreira na área de Segurança da Informação. São mostrados os conceitos básicos de Segurança da Informação contribuindo para o entendimento de quais informações são vulneráveis e quais medidas são necessárias para protegê-las. Possui questões distribuídas dentre os cinco assuntos:

1. Informação e Segurança – 10%
   2. Ameaças e riscos – 30%
   3. Abordagem e organização – 10%
   4. Medidas – 40%
   5. Legislação e regulamentação – 10%

ISMAS (Information Security Management Advanced) baseada na ISO 27002
Na linha EXIN – Information Security, esta é a segunda certificação que testa os aspectos organizacionais e de gestão de Segurança da Informação. Enquanto a anterior pretende introduzir os aspectos básicos, esta pretende testá-los. A certificação é ideal para profissionais de Segurança da Informação envolvidos na implementação, avaliação e emissão de relatórios. O exame possui questões envolvendo os temas:

1. Perspectivas em Segurança da Informação (10%)
2. Gerenciamento de risco (30%)
3. Controles em Segurança da Informação (60%)

ISMES (Information Security Management Expert) baseada na ISO 27002
Este módulo é o terceiro, e último, da linha EXIN – Information Security. Aborda testes de conhecimentos especializados, entendimentos e habilidades na estruturação, manutenção e otimização de Segurança da Informação em uma organização. O público alvo são profissionais de TI responsáveis pelo desenvolvimento da estruturação de Segurança da Informação na organização.

MCSO (Modulo Certified Security Officer)
A certificação MCSO exige como pré-requisito dois anos, no mínimo, de experiência na área. Ela aborda conhecimentos em Segurança da Informação e Gestão de Riscos, desde conceitos até a criação de departamentos.

Recomendação do DSIC no que tange a área de Gestão de Continuidade de Negócios

Foco	Certificação	Entidade
Gestão de Continuidade de Negócios	ABCP – Associate Business Continuity Professional	DRI International
	CBCI – Business Continuity Institute Certificate	BCI
	AMBCI – Associate Member of the Business Continuity Institute	BCI
	SBCI – Specialist Member of the Business Continuity Institute	BCI
	CBCP – Certified Business Continuity Professional	DRI International
	CFCP – Certified Functional Continuity Professional	DRI International
	MBCP (Master Business Continuity Professional)	DRI International

Aqui abordaremos as certificações sugeridas para a área de “Gestão de Continuidade de Negócios”.

ABCP (Associate Business Continuity Professional)
Esta certificação da DRI International é destinada a profissionais que estão iniciando suas carreiras na área de Gestão de Continuidade de Negócios e para aqueles que já possuem algum conhecimento na área, mas que ainda não possuem experiência para atingir o nível de uma certificação mais especializada.

CBCI (Business Continuity Institute Certificate)
A certificação BCI é um exame que testa os conhecimentos do candidato quanto ao manual de boas práticas do BCI. Os que obtiverem sucesso poderão prosseguir para outras certificações BCI, como AMBCI e MBCI. O exame possui dois níveis de graduação: “Pass” para os profissionais menos experientes que procuram fazer o AMBCI em seguida; e o “Pass with Merit” para aqueles que pretendem atingir o grau mais elevado da graduaçao: MBCI.

AMBCI (Associate Member of the Business Continuity Institute)
Para obter esta certificação, é necessária aprovação no exame CBCI  (Business Continuity Institute Certificate) com o nível “Pass” ou “Pass with Merit” ou ainda uma credencial alternativa aceitável, e ao menos um ano de experiência nas seis competências listadas no Business Continuity Competencies.

SBCI (Specialist Member of the Business Continuity Institute)
Para obtenção desta certificação, é necessária aprovação no exame CBCI  (Business Continuity Institute Certificate) com o nível “Pass” ou “Pass with Merit“, e ao menos dois anos de experiência como profissional especialista em continuidade do negócio (specialist business continuity practitioner) ou em área relacionada.

CBCP (Certified Business Continuity Professional)
Emitida pela DRI International, esta certificação aborda conhecimentos e habilidades em continuidade e recuperação de desastres da indústria de negócios. Possui como requisito mais de 2 anos de experiência, onde os candidatos devem ser capazes de demonstrar experiência específica e prática em 5 das 10 áreas contidas no Professional Practices da DRII.

CFCP (Certified Functional Continuity Professional)
A certificação CFCP é projetada para profissionais com uma habilidade ou foco específico. Aqueles profissionais que demonstram conhecimento e habilidades em continuidade de negócios em um escopo limitado como um especialista em recuperação de TI. É necessária comprovação de mais de 2 anos de experiência, sendo necessário demonstrar conhecimento em 3 dos 10 sujeitos contidos no Professional Practices da DRII.

MBCP (Master Business Continuity Professional)
Ideal para profissionais com conhecimento superior e uma vasta experiência na área de continuidade de negócios. Para obter esta certificação, são necessários 5 anos de experiência comprovada, sendo necessário demonstrar conhecimento em 7 dos 10 assuntos contidos no Professional Practices da DRII.

Entidades Certificadores na área de Segurança da Informação

Para finalizar este artigo produzido pela equipe do SegInfo, vamos aqui fazer um breve resumo sobre as Entidades Certificadoras responsáveis por todas as certificações aqui abordadas. Segue então abaixo um resumo sobre cada uma das entidades certificadoras selecionadas pelo DSIC. Este artigo deverá a ser constantemente atualizado.

CompTIA

A CompTIA, celebrando seus 30 anos, é uma empresa certificadora com quatro diferentes programas. Estes programas são divididos pelo nível de experiência e conhecimento necessário para as certificações abordadas, que são reconhecidas globalmente. São eles, em ordem decrescente de nível requisitado: CompTIA Mastery, CompTIA Professional, CompTIA Specialty e CompTIA Basic.

Fonte: CompTIA Annual Report 2011-2012

ISACA

A ISACA, há quase 50 anos no mercado, oferece quatro certificações profissionais: Certified Information Systems Auditor (CISA), Certified Information Security Manager (CISM), Certified in the Governance of Enterprise IT (CGEIT) e Certified in Risk and InformationSystems Control (CRISC). As certificações da ISACA são reconhecidas e aceitas mundialmente, sendo recomendadas por organizações governamentais do mundo todo.

ISC²

O (ISC)2 é a maior entidade de afiliação sem fins lucrativos de profissionais credenciados em segurança da informação do mundo, com mais de 80.000 membros em mais de 135 países. Reconhecido globalmente como Padrão da Indústria, o (ISC)2 emite credenciais de Certified Information Systems Security Professional (CISSP®) e concentrações relacionadas, assim como credenciais de Certified Secure Software Lifecycle Professional (CSSLP®), Certified Authorization Professional (CAP®) e Systems Security Certified Practitioner (SSCP®) para candidatos qualificados. As credenciais do (ISC)2 foram uma das primeiras credenciais em segurança da informação a atender aos rígidos requisitos da Norma ISO/IEC 17024, um padrão global para avaliação e credenciamento de pessoal. O (ISC)2 também oferece programas de formação e serviços baseados em seu CBK®, um compêndio de tópicos em segurança da informação. Informações adicionais estão disponíveis em http://www.isc2.org.

EC-Council

A EC-Council (The International Council of E-Commerce Consultants) é certificada pelo ANSI atendendo ao padrão ANSI 17024. Suas certificações são oferecidas em 87 diferentes países, são elas: CHFI (Computer Hacking Forensic Investigator), CEH (Certified Ethical Hacker), ECSA (EC-Council Certified Security Analyst), LPT (Licensed Penetration Tester), ENSA (EC-Council Network Security Administrator), ECIH (EC-Council Certified Incident Handler), dentre outras.

Dentre as empresas certificadoras recomendadas pelo DSIC temos ainda: a EXIN com diferentes programas de certificação e enfoque, como o especializado em computação em nuvem, outro específico na Norma ISO 27002, dentre outros; a Módulo com as certificações MCSO e MCRM; a SANS com diversas certificações separadas por áreas como Forense, Auditoria, Segurança de Software, Legal;

Dentre as entidades especializadas em continuidade do negócio, foram listadas: a DRI (Disaster Recovery Institute), com mais de 8 mil profissionais certificados desde 1988, possui as certificações profissionais: ABCP (Associate Business Continuity Professional), CFCP (Certified Functional Continuity Professional), CBCP (Certified Business Continuity Professional), MBCP (Master Business Continuity Professional); a BCI (Business Continuity Institute), com mais de 7 mil profissionais certificados desde 1994, emite certificados BCI com três diferentes denominações quanto ao grau de competência: FBCI (Fellow), MBCI (Member) e AMBCI (Associate Member).

Artigos relacionados

• Administração Pública Federal define certificações para os seus servidores na área de Segurança da Informação
• Auditoria Teste de Invasão(Pentest) – Planejamento, Preparação e Execução